Это даже не смешно.
1. Подобные правила можно и на unix/linux сделать, совсем необязательно иметь NGFW. Более того используя современные решения типа netmap, DPDK, PF_Ring все это можно сделать на неплохих скоростях, вплоть до 10 Гбит/с.
2. Syn flood, это прошлый век. В наше время даже обезьяньи решения умеют считать syn/syn-ack и отбиваться от подобного рода атак десятью различными методами.
3. Не указан объем атаки в тесте, обычно средней руки файрволы(как и роутеры) ложаться примерно на 500KPPS-1MPPS. При этом, если не повезет, кладут за собой всю сеть.
Тогда прошу прощения за школьника ) И все же…
Над чем Вы все-таки смеялись, если это чистая серверная, вернее сетевая платформа, я даже знаю завод в китае который ее делает наряду с платформами от других именитых вендоров.
1. Простите, а какие например действия Вы хотите выполнять из консоли? Может быть написать сигнатуру, просмотреть логи или графики статистики. ИМХО все гораздо удобней делать из системы управления, которая к слову сказать одна из лучших на рынке. Мы щупали порядка 5-10 IPS от разных вендоров, на первом месте по гибкости, скорости, информативности, возможности выполнить практически любые настройки «под себя» был стоун, к слову на втором месте HP TippingPoint. Аптайм системы управления у нас порядка 3х лет. За исключением перезагрузок в процессе обновления на новые версии.
2. Ну может сейчас все хорошо, а некоторое время назад эта функция была для галочки и не работала.
3. Ну специальность есть много где, но студентов способных к реальным действиям без должного опыта к сожалению единицы.
4. Не не не, какой веб сервер, это не HIPS, это штука на входе сети, в которой куча всего, причем много такого, о чем Вы даже не подозреваете.
5. Снорт уже по-моему несколько лет как умеет параллелиться. Меряли простите что? Скажем так у нас есть некий сенсор соответствующих органов, причем нескольких, у них всех есть куча людей и куча денег, которые ушли на допиливание и доработку данного снорта до хотя бы примерно удобоваримых результатов. И есть реальные системы защиты, в том числе и стоун. А дальше все очень просто, сравнивается кто и сколько ловит и отбивает на реальной большой сети. По производительности тоже полный швах, пока только обещают работу снорта на 10G и за дикие денги, а стоун у нас отрабатывал на 20Gbps.
Кстати Uptime сенсора тоже порядка 2х лет, за исключением 1 раза когда он посыпался из-за инспекции туннелей.
И еще кстати поддержка показала себя очень профессионально, быстро и глубоко копнув, указали на проблему и решение, уведомили о ликвидации бага в следующих версиях. К слову техподдержка другого известного вендора, по пустяковому поводу потребовала удаленную сессию, потом долго лазила по настройкам ища стандартные пункты, т.ч. пришлось перехватывать управление и делать все самому.
Такова реальность )
Честно говоря комментарий школьника, который реально ни одной IPS не щупал.
1. Что вы такого увидели в Стоунсофт, если это x86 платформа? А система управления одна из лучших по скорости, гибкости и красивости.
2. Вы пробовали сурикату с видеокартой? то еще приключение к слову сказать.
3. Причем тут махмет и сигнатуры? Нужно быть хорошим сетевым инженером как минимум, а лучше безопасником с опытом, чтобы эти сигнатуры написать.
4. Наикрутейшей конфигурации не бывает, настройка идет под реальные условия, сервисы и сети.
5. Снорт неплохая штука, если бы не ряд архитектурных недостатков, которые ОЧЕНЬ существенно влияют на скорость и качество работы. Работа по его допиливанию до уровня займет очень много времени, сил и денег. К примеру органы работают на снорте, и как говориться, смотрят в книгу, а видят фигу. Реальное преимущество стоящего рядом стоуна даже не на несколько порядков.
О как Вы близко к сердцу восприняли ) На самом деле ни в коей мере не хотел Вас обидеть или нивелировать достоинства Вашей системы, просто как и у любой системы в ней есть очевидные недостатки.
В своем решении, мы постарались свести эти недостатки к минимуму, за счет использования кроме собственных наработок «больших» железок разных вендоров, которые лучше всего решают кусочек задачи.
У нас так же есть собственные методы анализа и фильтрации, но мы считаем, что как минимум глупо считать, что мы самые умные и умнее множества профильных команд безопасников Arbor, Radware и т.п. которые десятки лет занимаются решением подобных задач имеют огромные финансирования и вообще строят на этом свой бизнес. Поэтому для решения каждой из проблем защиты от компьютерных атак мы стараемся подбирать лучшее оборудование+использовать свои наработки.
Поэтому если Radware не отобьет атаку, ее отобьет один из других элементов комплекса вот и все. ) насколько я знаю Radware плохо реагирует на очень медленные атаки, видимо о них идет речь? )) (пакет раз в несколько минут)
Зато на 99% атак он среагирует через 18 секунд, с высокой точностью фильтруя атаку, давая возможность администратору безопасности проанализировать дамп и отфильтровать максимум грязи на бордерах или дальше по миру.
Все бы хорошо но есть несколько но:
1. Это перенаправление через ДНС, примерно от 30 минут на распространение новых записей. (DNS провайдеры пишут вообще про 24 часа). Под атакой может быть критично.
2. Трафик идет через «левый» ресурс неизвестно где, если задержки сервиса критичны, решение не подходит.
3. Есть кучи других протоколов на которые сейчас направлен вектор атаки. (VOIP, DNS, SMTP).
4. Есть кучи других атак на ресурс, ряд из которых в том числе служит для усиления DoS/DDoS атак. (SQL-Injection, XSS и т.п.), т.е. по хорошему нужен хороший IPS.
5. Описанный вариант аналитики имеет право на жизнь, однако по факту в любом случае должен иметь фидбэк от оператора, т.к. есть куча пограничных операций, например промо-сайты, где есть только заглавная страница, т.е. никакой матрицы переходов нет в принципе. Новостные сайты, где контент постоянно обновляется и пользователи могут так-же не ходить дальше первой страницы, что делать в таком случае? Резать легитимных вместе с ботами? Я конечно догадываюсь, что есть еще варианты и методики работы )
6. Борьба с флудом. 2 проблемы: а) доставка трафика до системы очистки и кто за этот трафик будет платить, как я понимаю в предложенном решении платит пользователь, и поверьте, удовольствие небольшое внезапно получить счет на оплату 10Гб/с атаки длительностью хотя бы в сутки. Я уже не говорю про наличие толстых каналов оператора защиты. б) Нужны достаточно мощные железки, либо серверная ферма чтобы эффективно чистить к примеру UDP флуд. К примеру у нас только одним из 3 систем компонент защиты стоит Radware, 10MPPS. Второй компонент 14 MPPS + внешние методы BGP FlowSpec, BGP Blackhole.
7. Что делать если нужно поставить под защиту целую сеть?
На самом деле вопросов больше чем ответов, да, для ОБЫЧНОГО конечного пользователя с небольшим сайтом и средними атаками «по больнице» решение имеет право на жизнь. Как только что-то нестандартное, большое, ресурсом начинают заниматься всерьез…
Больше скажу, стоял асус интернет и Wifi+3com 1 Gb свитч на домашнюю сетку до nas. Асус сломался, купил кинетик 1Gb, думал уберу 3com из схемы. Но не тут то было, даже по проводам кинетик не смог воспроизвести HD видео без тормозов, упирался в процессор. В итоге вернулся на 3com.
1. Подобные правила можно и на unix/linux сделать, совсем необязательно иметь NGFW. Более того используя современные решения типа netmap, DPDK, PF_Ring все это можно сделать на неплохих скоростях, вплоть до 10 Гбит/с.
2. Syn flood, это прошлый век. В наше время даже обезьяньи решения умеют считать syn/syn-ack и отбиваться от подобного рода атак десятью различными методами.
3. Не указан объем атаки в тесте, обычно средней руки файрволы(как и роутеры) ложаться примерно на 500KPPS-1MPPS. При этом, если не повезет, кладут за собой всю сеть.
Над чем Вы все-таки смеялись, если это чистая серверная, вернее сетевая платформа, я даже знаю завод в китае который ее делает наряду с платформами от других именитых вендоров.
1. Простите, а какие например действия Вы хотите выполнять из консоли? Может быть написать сигнатуру, просмотреть логи или графики статистики. ИМХО все гораздо удобней делать из системы управления, которая к слову сказать одна из лучших на рынке. Мы щупали порядка 5-10 IPS от разных вендоров, на первом месте по гибкости, скорости, информативности, возможности выполнить практически любые настройки «под себя» был стоун, к слову на втором месте HP TippingPoint. Аптайм системы управления у нас порядка 3х лет. За исключением перезагрузок в процессе обновления на новые версии.
2. Ну может сейчас все хорошо, а некоторое время назад эта функция была для галочки и не работала.
3. Ну специальность есть много где, но студентов способных к реальным действиям без должного опыта к сожалению единицы.
4. Не не не, какой веб сервер, это не HIPS, это штука на входе сети, в которой куча всего, причем много такого, о чем Вы даже не подозреваете.
5. Снорт уже по-моему несколько лет как умеет параллелиться. Меряли простите что? Скажем так у нас есть некий сенсор соответствующих органов, причем нескольких, у них всех есть куча людей и куча денег, которые ушли на допиливание и доработку данного снорта до хотя бы примерно удобоваримых результатов. И есть реальные системы защиты, в том числе и стоун. А дальше все очень просто, сравнивается кто и сколько ловит и отбивает на реальной большой сети. По производительности тоже полный швах, пока только обещают работу снорта на 10G и за дикие денги, а стоун у нас отрабатывал на 20Gbps.
Кстати Uptime сенсора тоже порядка 2х лет, за исключением 1 раза когда он посыпался из-за инспекции туннелей.
И еще кстати поддержка показала себя очень профессионально, быстро и глубоко копнув, указали на проблему и решение, уведомили о ликвидации бага в следующих версиях. К слову техподдержка другого известного вендора, по пустяковому поводу потребовала удаленную сессию, потом долго лазила по настройкам ища стандартные пункты, т.ч. пришлось перехватывать управление и делать все самому.
Такова реальность )
1. Что вы такого увидели в Стоунсофт, если это x86 платформа? А система управления одна из лучших по скорости, гибкости и красивости.
2. Вы пробовали сурикату с видеокартой? то еще приключение к слову сказать.
3. Причем тут махмет и сигнатуры? Нужно быть хорошим сетевым инженером как минимум, а лучше безопасником с опытом, чтобы эти сигнатуры написать.
4. Наикрутейшей конфигурации не бывает, настройка идет под реальные условия, сервисы и сети.
5. Снорт неплохая штука, если бы не ряд архитектурных недостатков, которые ОЧЕНЬ существенно влияют на скорость и качество работы. Работа по его допиливанию до уровня займет очень много времени, сил и денег. К примеру органы работают на снорте, и как говориться, смотрят в книгу, а видят фигу. Реальное преимущество стоящего рядом стоуна даже не на несколько порядков.
В своем решении, мы постарались свести эти недостатки к минимуму, за счет использования кроме собственных наработок «больших» железок разных вендоров, которые лучше всего решают кусочек задачи.
У нас так же есть собственные методы анализа и фильтрации, но мы считаем, что как минимум глупо считать, что мы самые умные и умнее множества профильных команд безопасников Arbor, Radware и т.п. которые десятки лет занимаются решением подобных задач имеют огромные финансирования и вообще строят на этом свой бизнес. Поэтому для решения каждой из проблем защиты от компьютерных атак мы стараемся подбирать лучшее оборудование+использовать свои наработки.
Поэтому если Radware не отобьет атаку, ее отобьет один из других элементов комплекса вот и все. ) насколько я знаю Radware плохо реагирует на очень медленные атаки, видимо о них идет речь? )) (пакет раз в несколько минут)
Зато на 99% атак он среагирует через 18 секунд, с высокой точностью фильтруя атаку, давая возможность администратору безопасности проанализировать дамп и отфильтровать максимум грязи на бордерах или дальше по миру.
1. Это перенаправление через ДНС, примерно от 30 минут на распространение новых записей. (DNS провайдеры пишут вообще про 24 часа). Под атакой может быть критично.
2. Трафик идет через «левый» ресурс неизвестно где, если задержки сервиса критичны, решение не подходит.
3. Есть кучи других протоколов на которые сейчас направлен вектор атаки. (VOIP, DNS, SMTP).
4. Есть кучи других атак на ресурс, ряд из которых в том числе служит для усиления DoS/DDoS атак. (SQL-Injection, XSS и т.п.), т.е. по хорошему нужен хороший IPS.
5. Описанный вариант аналитики имеет право на жизнь, однако по факту в любом случае должен иметь фидбэк от оператора, т.к. есть куча пограничных операций, например промо-сайты, где есть только заглавная страница, т.е. никакой матрицы переходов нет в принципе. Новостные сайты, где контент постоянно обновляется и пользователи могут так-же не ходить дальше первой страницы, что делать в таком случае? Резать легитимных вместе с ботами? Я конечно догадываюсь, что есть еще варианты и методики работы )
6. Борьба с флудом. 2 проблемы: а) доставка трафика до системы очистки и кто за этот трафик будет платить, как я понимаю в предложенном решении платит пользователь, и поверьте, удовольствие небольшое внезапно получить счет на оплату 10Гб/с атаки длительностью хотя бы в сутки. Я уже не говорю про наличие толстых каналов оператора защиты. б) Нужны достаточно мощные железки, либо серверная ферма чтобы эффективно чистить к примеру UDP флуд. К примеру у нас только одним из 3 систем компонент защиты стоит Radware, 10MPPS. Второй компонент 14 MPPS + внешние методы BGP FlowSpec, BGP Blackhole.
7. Что делать если нужно поставить под защиту целую сеть?
На самом деле вопросов больше чем ответов, да, для ОБЫЧНОГО конечного пользователя с небольшим сайтом и средними атаками «по больнице» решение имеет право на жизнь. Как только что-то нестандартное, большое, ресурсом начинают заниматься всерьез…